Nincs tökéletes szoftver, Snowden hibázott

IT café: Kristian Erik Hermansen neve minden bizonnyal ismerősen cseng. Ő volt az a kutató, aki bejelentette (és nyilvánosságra is hozta az exploitot), hogy hibát talált a FireEye rendszerében. Azt állította, a probléma csak egy a sok közül, és már másfél éve nem született rá megoldás. Elég indulatos volt.

Yogi Chandiramani: Ez egy nagyon érdekes történet. Hermansen úgy időzítette a publikációját, hogy az pont egy hosszúhétvégére esett. Ez finoman fogalmazva is szokatlan. Mindenesetre a hibát javítottuk. Anélkül hogy bagatellizálni szeretném a problémát, tegyük gyorsan hozzá, hogy a kiaknázásához be kellett valahogy jutni először a menedzsment felületre, ami azt jelenti, hogy kívülről nagyon nehezen volt hozzáférhető. Teoretikusan persze igen, ez is egy sebezhetőség, de a gyakorlatban nem látok rá esélyt, hogy bárki is élni tudott volna vele, még az exploit megléte ellenére sem.

Ami az ügy pikantériáját adja nem más, mint hogy felvettük vele a kapcsolatot, kíváncsiak voltunk rá, milyen sebezhetőségekről tud még. Erről azonban nem volt hajlandó beszélni, ameddig nem fizetünk neki előre.

IT café: Elég sok cég tart versenyeket, illetve ígér jutalmat, ha valaki hibát talál és jelenti.

Yogi Chandiramani: Ez igaz, viszont az egyáltalán nem szokványos, hogy valaki odaáll eléd, és azt mondja, hogy fizess, aztán majd elmondom, mire adtál pénzt. Ez nem egészen így működik az iparágban. Nevezhetnénk zsarolásnak is. A FireEye csak idén több mint 20 zero day sebezhetőséget tárt fel, és együtt is működött azok megoldásában. Ha a cél az, hogy ne tudjanak behatolni a támadók, akkor nem az a megoldás, hogy pénzt kérünk, aztán elmondjuk mit találtunk. Ezért mondom, hogy nagyon szokatlan hozzáállás volt ez a kutatótól. Ha olvasta a közleményünket a témában, megköszöntük a segítséget, de visszautasítjuk ezt a fajta hozzáállást. Főleg a hiba nyilvánosságra hozatalával kapcsolatban. Elvileg egy oldalon állunk, segítenünk kellene egymást, nem hátráltatni a munkát.

Nem szokványos, hogy valaki azelőtt kéri a pénzt, mielőtt elmondaná, mire adják

IT café: Mindig érdekes megkérdezni a biztonsági szakértőktől, hogy mit gondolnak Edward Snowden szivárogtatásáról. Önnek mi a véleménye?

Yogi Chandiramani: Tisztázni kell, hogy ki ellen védekezünk, kitől félünk igazán. A kormánytól, vagy a bűnözőktől. Biztos vagyok benne, hogy az NSA célja nem az, hogy az ártatlanokat vegzálja vagy megfélemlítse. Amit Snowden tett, az bűncselekménynek számít az USA területén. Nem tudom, én mit csináltam volna, de a módszerei nem biztos, hogy jók voltak. Arra gondolok, hogy az átlagember felháborodott és bizalmát veszthette az igazságszolgáltatás irányában, miközben azok, akiknek tényleg vaj van a füle mögött, sokat tanultak az esetből. Így őket most nehezebb elkapni. Ezzel nem azt mondom, hogy az NSA csinálja jól. Ha valamire nincs felhatalmazásuk, akkor azt ne tegyék. Nem helyes visszaélni az emberek bizalmával. Szóval nagyon nehéz téma ez, nem minden fekete és fehér.

Én francia vagyok, így a Charlie Hebdo elleni merényletről elég sokat tudok. Ha a hatóságok minden beszélgetést lehallgattak volna, lehet, hogy hamarabb tudnak lépni, esetleg meg is tudják előzni a vérengzést. De ez csak akkor lehetséges, ha feláldozunk egy újabb darabot a magánéletünkből és elfogadjuk, hogy mindez a mi érdekünkben történik. Semmi sincs ingyen.

A cikk még nem ért véget, kérlek, lapozz!